处理漏洞
当HSS扫描到服务器存在漏洞时,您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞,避免漏洞被入侵者利用入侵您的服务器。
漏洞支持以下三种处理方式,具体操作请参见处理漏洞:
- 修复漏洞
如果漏洞对您的业务可能产生危害,建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞,您可以在企业主机安全控制台一键自动修复漏洞,对于Web-CMS漏洞、应用漏洞和应急漏洞,暂不支持自动修复,您可以参考漏洞详情界面提供的修复建议手动修复漏洞。
- 忽略漏洞
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某漏洞暂时无害,可以忽略该漏洞。
- 添加漏洞白名单
如果确认漏洞不会对您的业务造成任何影响,无需修复,您可以将漏洞添加至白名单。漏洞加入白名单后,针对漏洞列表已经展示的漏洞信息会系统处理为“忽略”,不再为您上报告警,在下一次漏洞扫描任务执行时系统不会再扫描和呈现该漏洞信息。
约束限制
- 企业主机安全各版本支持的漏洞处理操作请参见支持扫描和修复的漏洞类型。
- 操作系统CentOS 7,CentOS 8,Debian 9、10,Windows 2012 R2和Ubuntu 14.04及以下,官方已停止维护,由于官方不出补丁所以无法修复,建议使用正在维护的操作系统。
- 操作系统Ubuntu 16.04~Ubuntu 22.04,部分补丁不支持免费更新,需要订阅Ubuntu Pro才能安装升级包,未配置Ubuntu Pro会导致漏洞修复失败。哪些漏洞修复需要订阅Ubuntu Pro请参见Ubuntu漏洞修复是否需要订阅Ubuntu Pro?。
- 由于贸然修复内核漏洞,可能会导致主机功能不可用,因此针对CCE、MRS、BMS的主机内核漏洞,HSS不支持自动修复,HSS在执行批量自动修复漏洞任务时也会自动过滤不修复这些类型的漏洞。
- 处理漏洞时需保证目标服务器的“服务器状态”为“运行中”、“Agent状态”为“在线”、“防护状态”为“防护中”。
- 漏洞白名单最多支持添加2000条。
操作风险
- 执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云备份(CBR)为ECS创建备份,详细操作请参见创建云服务器备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
- 在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。
- Linux系统:如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用华为云提供的镜像源进行漏洞修复。为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中已配置华为云提供的对应操作系统的镜像源,详细的配置操作请参见配置镜像源。
- Windows系统:如果主机无法访问Internet,请确保拥有自建的补丁服务器。
漏洞修复优先级
漏洞修复优先级是由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出,反映了漏洞修复的紧急程度。
漏洞修复优先级主要分为紧急、高、中、低四个等级,您可以参考修复优先级优先修复对您的服务器影响较大的漏洞。
- 紧急:您必须立即修复的漏洞,攻击者利用该漏洞会对主机造成较大的破坏。
- 高:您需要尽快修复的漏洞,攻击者利用该漏洞会对主机造成损害。
- 中:您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
- 低:该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。
漏洞显示时长
扫描到的漏洞,无论您是否处理过,都将在漏洞列表展示7天。
仅Linux系统漏洞和Windows系统漏洞支持控制台一键自动修复漏洞。单次最多可修复1000个服务器漏洞,如果您有超过1000的漏洞需要修复,请分批修复。
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 在左侧导航树选择,进入漏洞管理界面。
- 修复Linux漏洞和Windows漏洞
- 在修复对话框中确认待修复的漏洞数量和影响资产数量。
对于Linux漏洞,您可以在修复对话框中单击查看修复命令,查看即将修复的组件名称。
- (可选)为服务器创建备份。
漏洞修复存在影响业务数据的风险,您可以使用HSS提供的自动创建备份功能在漏洞修复前为服务器创建备份。如果您无需备份可跳过此步骤。
- 在修复对话框中,单击
,开启备份。
- 开启创建备份后,按钮下方会显示可备份的服务器数量,如果服务器没有绑定备份存储库将无法创建备份,绑定存储库的操作请参见绑定存储库。
- 开启创建备份后,当次修复漏洞操作仅支持为可创建备份的服务器修复漏洞,对于未成功创建备份的服务器,请重新执行漏洞修复操作。
图5 创建备份
- 单击“管理”,系统弹出创建备份弹窗。
- 在创建备份弹窗中,编辑服务器本次备份文件的名称并单击“确定”。
- 在修复对话框中,单击
- 在修复对话框中勾选知晓风险后,单击“自动修复”。
如果您已自行手动完成漏洞修复,可在修复对话框中单击“手动处置”。手动处置后漏洞的状态会显示为“修复成功”,如果实际漏洞并未修复成功,下一次漏洞扫描任务执行完成后,该漏洞仍然会展示在漏洞列表中等待您处理。
- 单击漏洞名称,进入漏洞详情页面。
- 选择“历史处置记录”页签,您可以查看目标漏洞“状态”列的修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
仅Linux系统漏洞和Windows系统漏洞支持控制台一键自动修复漏洞。
- 登录企业主机安全控制台。
- 在控制台左上角,单击图标,选择区域或项目。
- 在左侧导航树选择,进入漏洞管理界面。
- 在界面左上方,选择“主机视图”。
- 修复Linux漏洞和Windows漏洞。
- 修复服务器存在的所有Linux或Windows漏洞
- 在目标漏洞服务器所在行的“操作”列,单击“修复”。
您也可以选中多台服务器,并在列表上方单击“批量修复”;如果需要修复所有服务器的漏洞,不勾选任何服务器,直接单击“批量修复”。
图6 修复单台服务器存在的所有Linux或Windows漏洞
- 在修复对话框中确认待修复的漏洞数量和影响资产数量。
- (可选)为服务器创建备份。
漏洞修复存在影响业务数据的风险,您可以使用HSS提供的自动创建备份功能在漏洞修复前为服务器创建备份。如果您无需备份可跳过此步骤。
- 在修复对话框中,单击
,开启备份。
- 开启创建备份后,按钮下方会显示可备份的服务器数量,如果服务器没有绑定备份存储库将无法创建备份,绑定存储库的操作请参见绑定存储库。
- 开启创建备份后,当次修复漏洞操作仅支持为可创建备份的服务器修复漏洞,对于未成功创建备份的服务器,请重新执行漏洞修复操作。
图7 创建备份
- 单击“管理”,系统弹出创建备份弹窗。
- 在创建备份弹窗中,编辑服务器本次备份文件的名称并单击“确定”。
- 在修复对话框中,单击
- 在修复对话框中,勾选需要修复漏洞的类型并勾选知晓风险后,单击“确定”。
仅Linux系统漏洞、Windows系统漏洞支持一键自动修复,Web-CMS漏洞、应用漏洞需要您登录服务器手动修复。
- 单击服务器名称,进入服务器详情页面,查看所有漏洞修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
- 在目标漏洞服务器所在行的“操作”列,单击“修复”。
- 修复单台服务器存在的一个或多个漏洞
- 单击目标漏洞服务器名称,进入服务器详情页面。
- 在目标漏洞所在行的“操作”列,单击“修复”。
您也可以勾选所有目标漏洞,单击漏洞列表上方的“批量修复”,批量修复漏洞。如果需要修复所有漏洞,不勾选任何漏洞,直接单击“批量修复”。
图8 修复单台服务器存在的一个漏洞
- 在修复对话框中确认待修复的漏洞数量和影响资产数量。
- (可选)为服务器创建备份。
漏洞修复存在影响业务数据的风险,您可以使用HSS提供的自动创建备份功能在漏洞修复前为服务器创建备份。如果您无需备份可跳过此步骤。
- 在修复对话框中,单击,开启备份。
- 开启创建备份后,按钮下方会显示可备份的服务器数量,如果服务器没有绑定备份存储库将无法创建备份,绑定存储库的操作请参见绑定存储库。
- 开启创建备份后,当次修复漏洞操作仅支持为可创建备份的服务器修复漏洞,对于未成功创建备份的服务器,请重新执行漏洞修复操作。
图9 创建备份
- 单击“管理”,系统弹出创建备份弹窗。
- 在创建备份弹窗中,编辑服务器本次备份文件的名称并单击“确定”。
- 在修复对话框中,单击
- 勾选知晓风险后,单击“自动修复”。
如果您已自行手动完成漏洞修复,可在修复对话框中单击“手动处置”。手动处置后漏洞的状态会显示为“修复成功”,如果实际漏洞并未修复成功,下一次漏洞扫描任务执行完成后,该漏洞仍然会展示在漏洞列表中等待您处理。
- 在目标漏洞行的状态列,查看漏洞的修复状态。漏洞修复状态含义请参见表 漏洞修复状态说明。
“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则HSS仍可能为您推送漏洞消息。
- 修复服务器存在的所有Linux或Windows漏洞
对于Web-CMS漏洞、应用漏洞和应急漏洞,HSS不支持一键自动修复,您可以参考漏洞详情页面的修复建议,登录服务器手动修复。
- “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启服务器,否则HSS仍可能为您推送漏洞消息。
- 不同的漏洞请根据修复建议依次进行修复。
- 如果同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
查看漏洞修复建议
- 登录企业主机安全控制台。
- 在控制台左上角,单击图标,选择区域或项目。
- 在左侧导航树选择,进入漏洞管理界面。
- 单击目标漏洞名称,进入漏洞详情页面,查看修复建议。
参考漏洞修复方案进行漏洞修复
漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:
- 方案一:创建新的虚拟机执行漏洞修复
适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建,待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
- 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。
- 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。
- 在新启动的主机上执行漏洞修复并验证修复结果。
- 确认修复完成之后将业务切换到新主机。
- 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
- 方案二:在当前主机执行修复
某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。漏洞忽略后,HSS将不再为您告警。
- 登录企业主机安全控制台。
- 在控制台左上角,单击图标,选择区域或项目。
- 在左侧导航树选择,进入漏洞管理界面。
- 在目标漏洞所在行的“操作”列,单击“忽略”。
- 在弹出的对话框中,单击“确定”。
如果您评估某些漏洞对您的业务不会产生影响,并且不想在漏洞列表中看到该漏洞,您可以将该漏洞加入白名单,加入白名单后,针对漏洞列表已经展示的漏洞信息会处理为忽略,不再为您上报告警,在下一次漏洞扫描任务执行时不再扫描该漏洞和呈现该漏洞信息。
- 登录企业主机安全控制台。
- 在控制台左上角,单击图标,选择区域或项目。
- 在左侧导航树选择,进入漏洞管理界面。
- 将漏洞影响的所有服务器加入白名单
- 在目标漏洞所在行的“操作”列,单击“加白名单”。
您也可以都选多个目标漏洞,单击漏洞列表上方的“加白名单”。
图10 将漏洞影响的所有服务器加入白名单
- 在弹出的对话框中,单击“确定”。
- 在目标漏洞所在行的“操作”列,单击“加白名单”。
- 将漏洞影响的单个或多个服务器加入白名单。
- 单击目标漏洞的名称,进入漏洞详情页面。
- 选择“受影响服务器”页签。
- 在目标服务器所在行的“操作”列,选择。
您也可以勾选多个服务器,单击服务器列表上方的“加白名单”。
图11 将漏洞影响的单个服务器加入白名单
- 在弹出的对话框中,单击“确定”。
- 通过白名单规则将漏洞加入白名单。
- 在漏洞管理界面右上角,单击“漏洞白名单配置”,进入“漏洞白名单配置”页面。
- 在漏洞白名单配置区域,单击“新增规则”。
- 根据界面提示配置白名单规则,相关参数说明请参见表 漏洞白名单规则参数说明。
图12 配置白名单规则
- 单击“确定”。
- 将漏洞影响的所有服务器加入白名单
修复验证
- 方式一:在漏洞详情页面的“受影响服务器”页签,单击,进行一键验证。该方式的约束与限制如下:
- 应急漏洞:暂不支持该验证操作。
- 应用漏洞:仅支持jar包类型的应用漏洞进行验证,非jar包类型的应用漏洞会被自动过滤不进行验证。
- 方式二:执行以下命令查看软件升级结果,确保软件已升级为最新版本。
表4 验证修复命令 操作系统
修复命令
CentOS/Fedora /Euler/Red Hat/Oracle
rpm -qa | grep 软件名称
Debian/Ubuntu
dpkg -l | grep 软件名称
Gentoo
emerge --search 软件名称
- 方式三:手动执行漏洞检测查看漏洞修复结果。
